On Tue, Apr 06, 2004 at 11:15:30AM +0200, pippo_2002@tin.it wrote: > In particolare NON ho capito: > "Per assicurarsi che le immagini non soltanto siano state scaricate correttamente, > ma che siano effettivamente le immagini ufficiali, bisogna verificarne la > firma GnuPG presente nel file MD5SUMS usando Debian GPG keyring." > Sono andato su http://ftp.debian.org/debian/doc ma non so quale file prendere..... > c'è 1 solo file che gli assomiglia: debian-keyring.tar.gz ma è grosso 7,30 E` il file giusto, contiene tutte le chiavi digitali degli sviluppatori Debian; in particolare c'e` la chiave di chi ha firmato le immagini ISO. In realta` se non possiedi una chiave tua e non puoi verificare la catena di chiavi che ti porta allo sviluppatore... non e` che questo ti serva a molto... A quel punto puoi scaricare solo la chiave di chi ha firmato con: gpg --keyserver sks.keyserver.penguin.de --keyserver-option auto-key-retrieve --verify MD5SUM E le prossime volte, se ti sei trovato bene, controllare che il firmatario sia lo stesso. Ciau, M -- Questo messaggio e` firmato digitalmente con GnuPG ( http://www.gnupg.org/ ) gpg --keyserver sks.keyserver.penguin.de --recv-key c1a000b0
Attachment:
signature.asc
Description: Digital signature